Aufrufe
vor 5 Jahren

die bank 02 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

THEMENSCHWERPUNKT

THEMENSCHWERPUNKT ZAHLUNGSVERKEHR 1 | Erlaubnis- /Registrierungsverfahren Antragstellung Verfahren Zugang zu sensiblen Zahlungsdaten Geschäftsfortführung im Krisenfall Satzung / Gesellschaftsvertrag Angaben zum/r Antragsteller/in Verfahren Sicherheitsvorfälle sicherheitsbezogene Kundenbeschwerden Erfassung statistischer Daten (nicht KID) Name des Abschlussprüfers (nicht KID) Geschäftsmodell Unternehmenssteuerung Sicherheitsstrategie Geschäftsleiter Geschäftsplan Sicherheitsanforderungen (nicht ZAD und KID) Kontrollmechanismen zur Erfüllung der Anforderungen gem. §§ 27 und 53 ZAG 2018 (nicht KID) Inhaberkontrolle (nicht KID) Nachweis Anfangskapital (nicht KID) Absicherung im Haftungsfall (wenn ZAD und KID erbracht werden) Geldwäscheprävention Organisatorischer Aufbau Neu Änderungen Alt Quelle: BaFin. anderen bemüht sich derzeit z. B. auch der Kölner Bank-Verlag um die Zulassung als VDA. Der eigentliche Zugriff auf das Zahlungskonto erfolgt dann mit den Zugangsdaten des Kunden, weshalb dieser seine Zustimmung dazu ausdrücklich erteilen muss. Die Deutsche Kreditwirtschaft (DK), der Dachverband der fünf deutschen kreditwirtschaftlichen Spitzenverbände, hatte die RTS in einer Stellungnahme begrüßt: „Dies ist im Sinne des Kunden und stärkt sowohl die Sicherheit des Onlinebankings als auch die Transparenz über die Weitergabe von Daten.“ Da die Zugriffe grundsätzlich nur noch über eine dedizierte Schnittstelle (API) erfolgen sollen, sei das als Screen Scraping bezeichnete Auslesen der Internetseite der Kreditinstitute grundsätzlich nicht mehr erlaubt, hieß es in der Stellungnahme der DK weiter. Das ist den Banken seit jeher ein Dorn im Auge. Schließlich ist bei diesem Verfahren kaum feststellbar, welche Daten hier von FinTechs und anderen wirklich mitgelesen und ausgewertet werden. Aber ist Screen Scraping damit tatsächlich verboten? Die nicht ganz befriedigende Antwort der BaFin-Mitarbeiter auf diese Frage lautete seit Monaten „Jein“. Das kontoführende Institut muss den PSD 2-konformen Zugang zu den Online-Konten der Kunden bereitstellen. Funktioniert dieser aber einmal nicht, so dürfen die Drittanbieter als Fall-Back-Mechanismus wieder auf die Kundenschnittstelle zugreifen. Die BaFin definiert dies in zwei Möglichkeiten: Zunächst als dediziertes Interface (API) und als zweite Variante die sog. „Klassische Online-Banking-Website plus“. Funktioniert das dedizierte Interface also nicht – als Nicht-Funktionieren gelten z. B. ein Systemabsturz oder fünf vergebliche aufeinanderfolgende Anfragen innerhalb von 30 Sekunden – müssen die kontoführenden Institute Maßnahmen zur Wiederherstellung und eine Beschreibung der sofort (!) zur Verfügung stehenden Alternativen bereitstellen. Jedes Problem muss auch unverzüglich an die Aufsichtsbehörde gemeldet werden. Beiden Seiten wird es erschwert, der Gegenseite die jeweils favorisierte Variante unterzujubeln. Die kontoführenden Institute müssen alle zwei Wochen Statistiken über die Verfügbarkeit und Performance der Schnittstelle veröffentlichen. Generell gilt für das dedizierte Interface das gleiche Verfügbarkeits-, Performance- und Supportlevel wie für die Kundenschnittstelle. Die Banken müssen den Drittanbietern auch schon vor Inkrafttreten bzw. Markteinführung der RTS Testmöglichkeiten und Support anbieten. Umgekehrt gibt es aber auch Ausnahmen. Wenn sich die Aufsicht, die alle Schnittstellen überwacht, und die EBA abgestimmt haben, können die kontoführenden Institute auf die Bereitstellung des Fall-Back- Mechanismus verzichten. Voraussetzung ist, dass die API den Anforderungen entspricht und entsprechend getestet wurde, im Markt drei Monate getestet und bei auftretenden Problemen unverzüglich wiederhergestellt wurde. Werden diese Anforderungen aber zwei Wochen lang nicht mehr erfüllt, kann die Aufsichtsbehörde die Ausnahme widerrufen. SCA – Details und Ausnahmen Eine weitere wichtige Änderung im ZAG (§ 55) gegenüber den Mindestanforderungen für die Sicherheit von Internetzahlungen (MaSI) betrifft den Bereich der starken Kundenauthentifizierung (Strong Customer Authentication, SCA). Für eine SCA können drei Elemente verwendet werden: Wissen, Besitz und Inhärenz – also etwas, was der Nutzer weiß, was 10 02 // 2018

THEMENSCHWERPUNKT ZAHLUNGSVERKEHR 2 | Major Incident Reporting Zukünftiger Meldeprozess Europäische Zentralbank Meldung MVP-Portal Melde-DB EBA BaFin-Referat BA 51 Fachaufsicht Bewertung Ggf. weitere Behörden Quelle: BaFin. er besitzt oder was ihn ausmacht, z. B. auch biometrische Merkmale. Zwei von drei Punkten müssen erfüllt sein. Aus dem neuen ZAG ergibt sich die Pflicht zur SCA für alle elektronischen Zahlungen, auch solche am Point of Sale. In den RTS werden Details und Ausnahmen genannt. Wenn ein Nutzer online auf sein Zahlungskonto zugreift, wenn er einen Zahlungsvorgang elektronisch auslöst oder eine Handlung vornimmt, die das Risiko eines Missbrauchs oder Betrugs im Zahlungsverkehr beinhaltet, ist die SCA stets erforderlich. Anders hingegen die Lastschriften: Da sie durch den Zahlungsempfänger ausgelöst werden, ist keine SCA erforderlich. Der Begriff „elektronischer Zahlungsvorgang“ wird noch einmal exakter aufgeschlüsselt. Erforderlich ist demnach eine SCA, die den eigentlichen Zahlungsvorgang „dynamisch“ mit dem gezahlten Betrag und seinem Empfänger verknüpft. Davon betroffen sind statische Verfahren wie etwa die iTAN: „Sie ist im Herbst 2019 tot“, weissagte BaFin-Mitarbeiter Tobias Schmidt. Ausnahmen von der SCA sind möglich, wenn es um den Zugang zu bestimmten Kontoumsätzen geht, im Fall von wiederkehrenden Zahlungen, Zahlungen an sich selbst beim gleichen Zahlungsdienstleister, beim White Listing sowie bei sog. Secure Corporate Payments: Zahlungsdienstleister können demnach auf die SCA verzichten, wenn die Auslöser (hier: juristische Personen) von Zahlungsvorgängen mindestens der PSD 2 gleichwertige Sicherheitsstandards gewährleisten können und es sich dabei nicht um Zahlungen an Verbraucher handelt. Weitere Ausnahmen gelten für Fernzahlungsvorgänge bis 30 € und kontaktlose Zahlungen am Point of Sale bis 50 €, wobei in beiden Varianten kumulativ höhere Summen bzw. maximal fünf Zahlungen erlaubt sind. Auch die Zahlung an unbeaufsichtigten Terminals, etwa an Kassenautomaten in Parkhäusern, ist ohne SCA möglich. Darüber hinaus kann ein Zahlungsdienstleister aufgrund der Transaktionsrisikoanalyse entscheiden, ob er die SCA verlangt. Die Höchstbeträge sind von der Betrugsrate abhängig, die sich aus dem Wert der betrügerischen Zahlungen der letzten 90 Tage geteilt durch den Wert aller Zahlungen der letzten 90 Tage errechnet. Major Incident Reporting Die Meldung schwerwiegender Betriebs- und Sicherheitsvorfälle ist in den neuen Guidelines nicht mehr nur auf Internetzahlungen beschränkt, nunmehr müssen alle schwerwiegenden Sicherheitsvorfälle im Zahlungsverkehr gemeldet werden. Dafür steht den Zahlungsdienstleistern ein standardisiertes Verfahren bereit, die Melde- und Veröffentlichungsplattform (MVP) der BaFin. Diese muss die wichtigsten Einzelheiten unverzüglich an die EBA und die EZB weiterleiten. ÿ 2 Eine verpflichtende englischsprachige Beschreibung des Falls soll diesen Prozess beschleunigen – wobei jedoch niemand Angst vor Grammatikfehlern haben müsse, versprachen die BaFin-Mitarbeiter bei ihrer Info-Veranstaltung schmunzelnd. Die Bewertungskriterien werden in Schwellenwerte gegliedert. Beispielsweise gelten 5.000 betroffene Kunden oder eine Ausfallszeit von zwei Stunden als niederschwellig, sind aber mehr als 25 Prozent des üblichen Transaktionsvolumens oder mehr als 50.000 Kunden eines Zahlungsdienstleisters betroffen, gilt dies als hohe Schwelle und der Vorfall ist sofort meldepflichtig. Andernfalls muss der ZDL bei drei niederschwelligen Problemen Meldung erstatten. Offenbar mussten viele Banken noch einmal daran erinnert werden, sich für das MVP-Portal selbst zu registrieren und die Freischaltung für das Meldeverfahren durchzuführen. Aber auch das ließe sich auslagern. Der Markt bietet beispielsweise bereits eine Meldeplattform an, die eine automatisierte Schnittstelle zur BaFin bereitstellt und den Meldeworkflow organisiert und überwacht. Wichtig für die BaFin ist definitiv die Transparenz bei Krisen- und anderen Problemfällen: „Wir möchten die Meldung vorab von Ihnen haben, und nicht erst aus der Presse davon erfahren“, mahnte Schmidt. Autorin: Anja U. Kraus. 1 Verordnung über die angemessene Eigenkapitalausstattung von Zahlungsinstituten und E-Geldinstituten nach dem Zahlungsaufsichtsgesetz (bisherige Fassung). 2 Regulatory Technical Standards on Strong Customer Authentication and Secure Communication. 02 // 2018 11

die bank